近期，勒索病毒的“發(fā)病率”越來越高，一旦“中招”，將會被黑客無情“宰割”。對比11月份的勒索病毒情況，Makop勒索病毒的活動明顯增強(qiáng)，并且該病毒正在大范圍傳播，給中招企業(yè)帶來了極高的經(jīng)濟(jì)損失。

從受害者所在地域分布來看，攻擊者更傾向于經(jīng)濟(jì)發(fā)達(dá)地區(qū)和人口密集地區(qū)。原因可能為經(jīng)濟(jì)發(fā)達(dá)地區(qū)更具有贖金交付能力，而人口密集地區(qū)數(shù)據(jù)被破壞后可能造成更嚴(yán)重的社會負(fù)面影響。

從行業(yè)劃分來看，數(shù)據(jù)價值較高的教育、醫(yī)療、制造業(yè)、互聯(lián)網(wǎng)等行業(yè)遭受的攻擊較為嚴(yán)重。

 03 

勒索病毒家族分布

下圖是美創(chuàng)第59號實驗室對勒索病毒監(jiān)測后所計算出的12月份勒索病毒家族流行度占比分布圖。Makop家族占比22%居首位，BeijingCrypt家族占比18%位居第二，Phobos家族以15%位居第三，均為過往的流行家族。

下圖為勒索病毒傳播的各種方式的占比情況。根據(jù)統(tǒng)計可以看出，勒索病毒的主要攻擊方式依然以遠(yuǎn)程桌面入侵為主，其次利用網(wǎng)站掛馬和高危漏洞等方式傳播，整體攻擊方式呈現(xiàn)多元化的特征。

Makop勒索病毒出現(xiàn)于2020年1月下旬，目前已知主要通過惡意郵件渠道傳播。Makop病毒加密的方式，是通過本地生成一個隨機(jī)的AES BLOB，使用RSA公鑰對其進(jìn)行加密后放到被加密文件尾部，同時用上述隨機(jī)AES密碼對文件內(nèi)容進(jìn)行加密，全盤加密完成后對內(nèi)存中使用到的隨機(jī)AES BLOB進(jìn)行了清理。

 01 

吉林某企業(yè)遭BlackBit病毒襲擊

位于吉林省的某企業(yè)遭到了BlackBit勒索病毒的入侵，影響了部分業(yè)務(wù)系統(tǒng)的運行。據(jù)了解，BlackBit勒索病毒憑借其高級的加密算法，迅速將企業(yè)服務(wù)器上的數(shù)據(jù)文件加密，導(dǎo)致所有數(shù)據(jù)都無法打開及訪問。

在線點評：

1.BlackBit勒索病毒最早于2022年9月首次被發(fā)現(xiàn)，且BlackBit勒索病毒還使用.Net Reactor來混淆代碼，阻礙安全研究人員的分析。

2.BlackBit勒索病毒會更改加密文件的名稱及其默認(rèn)圖標(biāo)，設(shè)置新的桌面背景圖像，并創(chuàng)建名為“info.hta”和“Restore-My-Files.txt”的勒索信息文件。

3.BlackBit勒索病毒通常是利用RDP暴力破解獲取對目標(biāo)機(jī)器的初始訪問權(quán)限。

河南某企業(yè)遭DevicData勒索病毒攻擊，此次攻擊事件導(dǎo)致多臺服務(wù)器遭到了破壞，多個服務(wù)受到影響。據(jù)悉，該企業(yè)服務(wù)器上的文件被加密鎖定，文件名也被篡改為“.DevicData-D-XXXXXXXX”后綴。DevicData勒索病毒還生成了警告彈窗，其中包含有關(guān)贖金支付方式、加密貨幣地址以及一些威脅或恐嚇的言辭。

2.若企業(yè)內(nèi)部不慎感染了勒索病毒，將有可能在短時間內(nèi)造成大面積文件加密，造成不可挽回的損失。

福建某企業(yè)反饋其內(nèi)部服務(wù)器上的所有文件都被加密，且添加了“.mkp”后綴，這也導(dǎo)致了部分業(yè)務(wù)被擱置。通過對被加密樣本的分析檢測，可判斷此次攻擊的病毒為Makop勒索家族旗下的病毒變種。

2.Makop勒索病毒使用RSA+AES的方式加密文件。加密時會嘗試結(jié)束后臺應(yīng)用的進(jìn)程，以獨占文件完成加密；排除部分加密白名單文件不加密；病毒會嘗試加密有寫權(quán)限的網(wǎng)絡(luò)共享文件；加密結(jié)束后，會刪除系統(tǒng)卷影信息，以防止用戶通過文件恢復(fù)功能找回文件。

（一）隔離中招主機(jī)

（二）排查業(yè)務(wù)系統(tǒng)

在已經(jīng)隔離被感染主機(jī)后，應(yīng)對局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，生產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍。

（三）聯(lián)系專業(yè)人員

面對嚴(yán)峻的勒索病毒威脅態(tài)勢，美創(chuàng)第59號實驗室提醒廣大用戶，勒索病毒以防為主，注意日常防范措施，以盡可能免受勒索病毒感染：

①　及時給辦公終端和服務(wù)器打補(bǔ)丁，修復(fù)漏洞，包括操作系統(tǒng)以及第三方應(yīng)用的補(bǔ)丁，防止攻擊者通過漏洞入侵系統(tǒng)。

②　盡量關(guān)閉不必要的端口，如139、445、3389等端口。如果不使用，可直接關(guān)閉高危端口，降低被漏洞攻擊的風(fēng)險。

③　不對外提供服務(wù)的設(shè)備不要暴露于公網(wǎng)之上，對外提供服務(wù)的系統(tǒng)，應(yīng)保持較低權(quán)限。

④　企業(yè)用戶應(yīng)采用高強(qiáng)度且無規(guī)律的密碼來登錄辦公系統(tǒng)或服務(wù)器，要求包括數(shù)字、大小寫字母、符號，且長度至少為8位的密碼，并定期更換口令。

⑤　數(shù)據(jù)備份保護(hù)，對關(guān)鍵數(shù)據(jù)和業(yè)務(wù)系統(tǒng)做備份，如離線備份，異地備份，云備份等， 避免因為數(shù)據(jù)丟失、被加密等造成業(yè)務(wù)停擺，甚至被迫向攻擊者妥協(xié)。

⑥　敏感數(shù)據(jù)隔離，對敏感業(yè)務(wù)及其相關(guān)數(shù)據(jù)做好網(wǎng)絡(luò)隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數(shù)據(jù)，對公司業(yè)務(wù)和機(jī)密信息造成重大威脅。

⑦　盡量關(guān)閉不必要的文件共享。

⑧　提高安全運維人員職業(yè)素養(yǎng)，定期進(jìn)行木馬病毒查殺。

⑨　部署美創(chuàng)數(shù)據(jù)庫防火墻，可專門針對RushQL數(shù)據(jù)庫勒索病毒進(jìn)行防護(hù)。

⑩　安裝諾亞防勒索軟件，防御未知勒索病毒。

為了更好地應(yīng)對已知或未知勒索病毒的威脅，美創(chuàng)通過對大量勒索病毒的分析，基于零信任、守白知黑原則，創(chuàng)造性地研究出針對勒索病毒的終端產(chǎn)品【諾亞防勒索系統(tǒng)】。諾亞防勒索在不關(guān)心漏洞傳播方式的情況下，可防護(hù)任何已知或未知的勒索病毒。以下為諾亞防勒索針對勒索病毒的防護(hù)效果。

美創(chuàng)諾亞防勒索可通過服務(wù)端統(tǒng)一下發(fā)策略并更新。默認(rèn)策略可保護(hù)office文檔【如想保護(hù)數(shù)據(jù)庫文件可通過添加策略一鍵保護(hù)】。

無諾亞防勒索防護(hù)的情況下：

在test目錄下，添加以下文件，若服務(wù)器中了勒索病毒，該文件被加密，增加統(tǒng)一的異常后綴，并且無法正常打開。

開啟諾亞防勒索的情況下：

雙擊執(zhí)行病毒文件，當(dāng)勒索病毒嘗試加密被保護(hù)文件，即test目錄下的文件時，諾亞防勒索提出警告并攔截該行為。

查看系統(tǒng)上被測試的文件，可被正常打開，成功防護(hù)惡意軟件對被保護(hù)文件的加密行為。

開啟堡壘模式的情況下：

為保護(hù)系統(tǒng)全部文件，可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對亞終端，例如ATM機(jī)，ATM機(jī)的終端基本不太會更新，那么堡壘模式提供一種機(jī)制：任何開啟堡壘模式之后再進(jìn)入終端的可執(zhí)行文件都將被阻止運行，從而實現(xiàn)諾亞防勒索的最強(qiáng)防護(hù)模式。

運行在堡壘模式下，執(zhí)行該病毒，立刻被移除到隔離區(qū)，因此可阻止任何已知或未知勒索病毒的執(zhí)行。